OSI Schicht 7 Filter gesucht für Schädlingsvorbeugung

[bofh]

Hallo , ich hoffe das Topic triffts

Ich suche irgendend etwas was Viren/Exploits/Trojaner/etc.. filtern kann und das ganze Transparent auf nem Router, ich denke dabei nicht an reine Proxylösung im sinne von Squid+Squidguard für http oder SMTP Proxy + Scänner für Emails sondern etwas Transparentes.

Fortinet und Checkpoint und co können das ja das der Traffic gescännt wird, sowas suche ich auch für *BSD, gegebensfalls auch Linux und Solaris.

Das sowas nicht funktioniert bei verschlüsselten Traffic wie VPN, https.. ist klar aber zumindest für die unverschlüsselten Protokolle wär es echt hilfreich.

Falls euch da Lösungen (nicht kostenpflichtige) bekannt sind wär ichdankbar für Tips

Gruß Bofh

 

[*Sheep]

- snort http://www.snort.org/
- prelude http://www.prelude-ids.org/

 

[mark05]

hi

ich weiss nicht ob er nen IDS mein
ich denke eher was in die richtung wie http://l7-filter.sourceforge.net/

leider ist das project fuer linux.

holger

 

[bofh]

jo mark05, ich meine kein ids, ich glaube sowas nennt sich ips was ich suche wenn ich nicht falsch liege, ich möchte halt gern aktiv filtern

ein ids ist zwar auch ganz nett aber das reagiert meines wissens nicht so schnell, wie es nötig wäre, siehe das erste packet mit schadcode kommt am zielsystem an bevor ein ids entsprechende massnahmen einleiten kann wenn ich mich nicht irre

der l7 filter sieht ganz nett aus, ich werds mal antesten

schön wärs natürlich wenn es etwas vergeleichbares für bsd gäbe

 

[mcas]

Man kann snort in einem inline-modus laufen lassen, und snort dann noch mit der firewall verbinden. Sonst würde mir auch nur noch prelude einfallen.

 

[bofh]

das mit dem inline modus klingt ganz gut, das heisst also das die packete nur passieren dürfen wenn snort ein ok dazu gibt

wenn ich eine also eine datei downloade wird dieses auch zwischengepuffert und erst dann weitergegben wenn sie komplett ist wie man es kennt von ips systemen?